سیر تکامل امنیت اطلاعات : موج های چهارگانه – بخش دوم

سیر تکامل امنیت اطلاعات : موج های چهارگانه – بخش اول

۴- موج سوم- نهادینه‏‌سازی

نهادینه‏‌سازی بر ایجاد یک زیرساخت امنیت اطلاعات فنی و رویه‏‌ای و همچنین یک فرهنگ امنیت اطلاعات شرکتی استوار است که از خط‏ مشی‏‌‌های امنیت اطلاعات، رویه‏‌ها، روش‏ها و مسئولیت‏های شرکت پشتیبانی کند، به‏‌طوری‏که تأمین امنیت اطلاعات به یک روال عادی از فعالیت‏های روزانه در بین تمامی کارکنان شرکت تبدیل شود. این زیرساخت تجاری، فنی و رویه‏‌ای مبتنی بر به‏ روش‏های بین‏‌المللی است و توسط یک سیستم جامع سنجش امنیت اطلاعات در سراسر جهان پشتیبانی می‏شود که جهت مدیریت لحظه‏‌به‌‏لحظه امنیت اطلاعات، تمامی اطلاعات لازم را در اختیار مدیران قرار می‌دهد.

چهار مؤلفه اصلی موج سوم عبارتند از:

• استانداردسازی امنیت اطلاعات، یا پیروی از به‏ روش‏های بین‏‌المللی برای مدیریت امنیت اطلاعات

به‏ روش‏های بین‏‌المللی یا رهنمودهای بین‏‌المللی جهت مدیریت امنیت اطلاعات، در واقع جمع ‏آوری تجارب ترکیبی از چندین شرکت بین‏‌المللی بانفوذ است که در ارتباط با نحوه مدیریت امنیت اطلاعات خود دچار نگرانی هستند. این به‌روش‌ها و رهنمودها، در واقع تجربه چنین شرکت‏هایی را در مورد اقدام ‏های کنترلی مربوطه، رویه‏‌ای و همچنین فنی منعکس می‏کند که جهت ارائه سطح مناسب یا قابل قبول امنیت اطلاعات به دست آورده‌اند. البته، چنین رهنمودهایی نمی‏تواند به‏ طور دقیق و صددرصد نشان دهد که کدام اقدام‏های کنترلی در همه موارد مورد نیاز است، بلکه می توانند به عنوان یک مبنا برای امنیت اطلاعات مورد استفاده قرار گیرند. در تمامی موارد، تحلیل‏های مخاطره خاصی باید انجام شود تا تعیین کند که اگر شرکتی خاص، قصد دارد از این رهنمودهای پایه استفاده کند، آیا مخاطره ‏های خاص دیگری دارد که باید اقدام‏های کنترلی امنیتی خاصی برای مواجهه با آن‏ها در نظرگرفت یا خیر؟. با این وجود، با پیروی از یک رهنمود پایه، شرکت می‏تواند به این اطمینان برسد که بیشتر جنبه‏ های امنیتی که ‏باید موردتوجه قرار گیرند، با استفاده از یک رهنمود خوب قابل شناسایی هستند.

• گواهینامه بین‏‌المللی امنیت اطلاعات، برای نشان دادن امنیت سازمان به طرف‏های بین‏‌المللی در تجارت ‏الکترونیکی و بهبود وجهه تجاری

در این مرحله، اگر شرکت از فرآیند ممیزی عبور کند، به‏ عنوان مثال مطابق با اقدام‏های کنترلی شناسایی شده در استاندارد ISO/IEC 27001 توسط تحلیلگر مخاطره، شرکت می‏تواند گواهی‏نامه بین‏‌المللی امنیت اطلاعات خود را با اعتبار ۳ ساله دریافت ‏کند. این گواهی‏نامه، تأیید می‏کند که شرکت یا آن بخشی از شرکت که جهت دریافت گواهی‏نامه اقدام کرده‏ است، مطابق با سطح امنیت اطلاعاتی است که توسط استاندارد تعیین شده ‏است. شرکت‏هایی که با موفقیت از این روند صدور گواهی‏نامه عبور کرده ‏اند، اکنون خواستار تضمین امنیت اطلاعات از سوی شرکای تجارت‏ الکترونیکی خود با استفاده از این گواهی‏نامه هستند. در حال حاضر، استاندارد ISO/IEC 27001 تنها استاندارد بین‏‌المللی برای امنیت اطلاعات است که امکان صدور چنین گواهی‏نامه‏  ای را ممکن می‏سازد.

• فرهنگ‏سازی امنیت اطلاعات در سازمان، برای نهادینه‏ کردن امنیت در کارکنان و رفع مشکلات انسانی به‏ عنوان یکی از مهم‏ترین مشکلات در تأمین امنیت

در بسیاری از موارد، کارکنان بزرگ‏ترین خطر برای سیستم‏های فناوری اطلاعات یک شرکت محسوب می‏شوند. در اغلب موارد عدم شناخت کافی، باعث شده ‏است شرکت‏ها در سرتاسر جهان فعالیت خود را با برنامه ‏های جامع آگاهی ‏رسان امنیت اطلاعات شروع کنند. هر چقدر هم که اقدام‏ های رویه‏‌ای و فنی در عمل خوب باشند، اما این ابعاد انسانی امنیت اطلاعات نمی‏تواند به ‏طور کامل با این اقدام‏ها حل شوند. لازمه این کار، فرهنگ‏سازی امنیت اطلاعات در شرکت است. این فرآیند از طریق القای جنبه‏ های امنیت اطلاعات به هر کارمند و نهادینه سازی آن به‏ عنوان یک روش طبیعی جهت انجام فعالیت روزانه وی صورت می‏گیرد. به همین دلیل است که دوره ‏های آگاهی‏ رسان امنیت در حال تغییر به برنامه‏ های بهبود مستمر امنیت اطلاعات سازمانی هستند.

• ارزیابی دائمی و پویای امنیت اطلاعات در سازمان، سنجش و نظارت بر حسن اجرای خط‏ مشی‏‌‌ها و رویه‏‌های امنیتی:

در بسیاری از شرکت‏ها، امنیت اطلاعات به‏صورت دوره‏ای مورد سنجش و ارزیابی قرار می‏گیرد. این اقدام معمولاً زمانی اتفاق می‏افتد که یک تیم ممیزی داخلی یا خارجی، ممیزی امنیت اطلاعات را انجام دهد. در بسیاری از موارد و باتوجه به سطح بالا مخاطره، چنین ارزیابی ‏هایی قابل‏ قبول نیست. مدیریت امنیت اطلاعات به سمت مدلی از مدیریت شبکه در حال حرکت است که سنجش دقیقه به دقیقه موقعیت جهت مدیریت وضعیت مورد نیاز است.

۵- موج چهارم- حاکمیت امنیت اطلاعات

رابطه معنی‏ داری بین حاکمیت سازمان و امنیت اطلاعات برقرار است. حاکمیت سازمانی شامل مجموعه‏ای از خط‏ مشی‏‌‌ها و کنترل‏های داخلی است که توسط سازمان، صرف‏ نظر از اندازه یا شکل آن، مدیریت می‏شوند. حاکمیت امنیت اطلاعات، زیرمجموعه‏ای از برنامه کلی حاکمیت (سازمانی) است.

حاکمیت امنیت اطلاعات فراتر از مدیریت امنیت اطلاعات است.

حاکمیت امنیت اطلاعات به وضوح نشان‏ دهنده نقش مهم مدیران ارشد و هیأت مدیره در نحوه مدیریت امنیت اطلاعات در یک شرکت است. در واقع، حاکمیت امنیت اطلاعات بخشی از حاکمیت سازمانی است که دربرگیرنده موارد زیر است:

• تعهد هیأت مدیره، مدیریت و مدیران ارشد به امنیت اطلاعات خوب؛
• ساختار سازمانی مناسب برای اجرای خوب امنیت اطلاعات؛
• آگاهی‏رسانی کامل کاربران و تعهد آنها به سمت امنیت اطلاعات خوب؛ و
• خط‏ مشی‏‌‌های ضروری، رویه‏‌ها، فرآیندها، فناوری‏ها و سازوکارهای پیروی از قوانین.

حاکمیت امنیت اطلاعات همه افراد یک شرکت، از رئیس هیأت مدیره تا کارمند ورود اطلاعات در کارگاه و راننده خودرو که محصولات را به مشتریان تحویل می‏دهد، را در بر می‏گیرد. همه افراد با یکدیگر همکاری می‏کنند تا از محرمانگی، صحت و دسترس‏پذیری دارایی ‏های الکترونیکی شرکت (داده، اطلاعات، نرم‏افزار، سخت فزاد، نیروی انسانی و…) در تمامی زمان‏ها اطمینان حاصل شود.
حاکمیت امنیت اطلاعات را می‌توان به عنوان یک روش کلی در نظر گرفت که در آن امنیت اطلاعات به عنوان یک انتظام برای کاهش مخاطرات فناوری اطلاعات مورد استفاده قرار می گیرد. یکی از ویژگی‏های اساسی حاکمیت امنیت اطلاعات این است که از یک حلقه بسته تشکیل شده ‏است. این حلقه با یک الزام مدیریتی برای امنیت اطلاعات شروع می‏شود و آن را به ‏عنوان یک جنبه استراتژیک مهم در ماهیت وجودی شرکت و مسئولیت مدیریت مخاطره‏های فناوری اطلاعات شرکت درنظر می‏گیرد. این رفتار شامل تصویب یک خط‏ مشی امنیت اطلاعات سازمانی است که توسط هیأت مدیره پذیرفته و امضاء شده‏ است. این خط‌مشی توسط یک ساختار سازمانی مناسب برای امنیت اطلاعات، مالکیت‌ها و مسئولیت‌ها در همه سطوح پشتیبانی می‌شود. پس از آن فناوری‌های مورد نیاز به کار گرفته و مدیریت می‌شوند و در انتها ارزیابی انطباقی به منظور سنجش انطباق این فناوری‌ها با خط‌مشی‌ها و میزان کاهش سطح مخاطرات فناوری اطلاعات در شرکت انحام می شود. در واقع، حاکمیت امنیت اطلاعات، پیاده ‏سازی کامل چرخه امن ‏سازی شامل مراحل طراحی-اجرا-کنترل-سنجش-گزارش است که لازم است طبق یک متدولوژی مشخص اجرا شود.

پیشران‏های موج چهارم به شدت با توسعه و تحولات در حوزه‏ های حاکمیت سازمانی و حوزه‏های قانونی- مقرراتی در ارتباط است. از جمله پیشران‏های اصلی این موج می‏توان به خطر فرآیند تقلب و صرفه‏ جویی در منابع مالی از طریق دستکاری داده‏های الکترونیکی ذخیره شده در سیستم‏های فناوری اطلاعات شرکت اشاره نمود. به‏ نظر می‏رسد پیشگیری از تقلب از طریق دستکاری داده‏های الکترونیکی شرکت، هسته اصلی این پیشران است. در طی چند سال گذشته، ادغام/ ترکیب کامل فناوری اطلاعات در عملیات راهبردی شرکت‏ها و فراگیربودن استفاده از فناوری اطلاعات در شرکت‏ها و خدماتی که آن‏ها ارائه می‏دهند، فرصت‏های زیادی را برای فریبکاری با استفاده از سیستم‏های فناوری اطلاعات فراهم آورده‏ و منجر به خطرهای جدی شده‏است.
یکی از جدی‏ترین این خطرها، مهندسی اجتماعی و ارتباط آن با امنیت اطلاعات است. مدیران ارشد متوجه این موضوع شده‌اند که بخشی از سیستم‏های فناوری اطلاعات که توسط نیروی انسانی، کارکنان و مشتریان استفاده می‏شود، صرف‏نظر از مقدار هزینه صرف‏ شده در اقدام‏های فنی، می‏تواند خطرهای جدی را ایجاد کند. برای آن‏ها روشن شده است که مسئله امنیت اطلاعات نمی‏تواند به تنهایی با ابزارهای فنی حل شود و نیازمند تصمیم‌های راهبردی در سطوح بالا جهت اطمینان از آگاهی همه کاربران از خطرهای احتمالی و پیامد مهندسی اجتماعی در حمله به سیستم‏های فناوری اطلاعات هستند. به‏ نظر می‏رسد تلاش برای استفاده از مهندسی اجتماعی برای انجام تقلب رو به افزایش است. لازم است این نکته را درنظر گرفت که حاکمیت خوب امنیت اطلاعات برای آدرس ‏دهی این خطر ضروری است.

۶- بحث و نتیجه‏ گیری

همان‏طورکه بیان شد تا اوایل دهه اول قرن ۲۱، چرخه توسعه امنیت اطلاعات در قالب سه موج فنی، مدیریتی و نهادینه‏‌سازی نمود پیدا کرد و از آن سال به بعد، توسعه موج چهارم با تمرکز بر توسعه و نقش حیاتی حاکمیت امنیت اطلاعات مطرح گردید. به‏ طورخلاصه می‏توان گفت، موج اول به مسائل فنی می‏پردازد و بهترین گزینه برای کارشناسان فنی در حوزه رایانه و امنیت است. موج دوم به این موضوع می‏پردازد که امنیت اطلاعات دارای ابعاد مدیریتی قوی است و جنبه‏ هایی از جمله خط‏ مشی ‏گذاری و نقش مدیریت در این موج بسیار مهم و با اهمیت است. موج سوم نیاز به نوعی نهادینه‏‌سازی امنیت اطلاعات در شرکت را پیشینه فعالیت خود قرار می‏دهد و درنظرگرفتن جنبه‏ هایی ازجمله به‏ روش‏ها، صدور گواهی‏نامه، فرهنگ امنیت اطلاعات، سنجش و پایش امنیت اطلاعات در این دوره بسیار حائز اهمیت است. در نهایت، موج چهارم که بازتابی از توسعه حاکمیت امنیت اطلاعات است و به‏ عنوان نتیجه‏ای حاصل از تأکید بر حاکمیت سازمانی مناسب مطرح شده ‏است.

در واقع، موج چهارم امنیت اطلاعات می‏تواند به‏ عنوان بخش جدایی‏ ناپذیر از حاکمیت سازمانی مناسب و بلوغ مفهوم حاکمیت امنیت اطلاعات در فرآیند تشریح صریح امنیت اطلاعات تعریف گردد.

باتوجه به اینکه پیشران‏های اصلی موج چهارم بر حاکمیت مناسب سازمانی و پشتیبانی از تحولات قانونی-مقرراتی صورت ‏گرفته در این حوزه تأکید دارند، می‏توان پذیرفت که موج چهارم یک موج پایدار در حوزه امنیت اطلاعات خواهد بود. باید به این مهم توجه داشت که اگرچه حاکمیت امنیت اطلاعات مسائل فنی و دیگر مسائل (غیرفنی) مانند آگاهی ‏رسانی و مدیریت انطباق -اطمینان از عملکرد ذی‏نفعان مطابق با تمام خط‏ مشی‏‌‌ها، رویه‏‌ها و استانداردهای مرتبط- را دربرمی‏گیرد و برای حاکمیت خوب/ مناسب امنیت اطلاعات حیاتی به نظر می‏رسد، ولی یک مسئله فنی نیست.

موج چهارم نیازمند سازوکارها و ابزارهای رسمی برای گزارش‏ دهی است، روش‏ها و ابزارهایی که به مدیران ارشد این امکان را می‏دهد بر ریسک‏های فناوری اطلاعات و نحوه مدیریت این ریسک‏ها در طول زمان نظارت و کنترل داشته باشند.